2003年，芬蘭資訊安全研究員圖安文寧（Tomi Tuominen）到柏林參加一個安全會議，期間放在他酒店房間的一部手提電腦失竊。這部電腦屬於他的朋友，載有一些敏感資訊。酒店職員找不到任何闖入房間的痕跡，電子記錄亦顯示只有職員進入過房間，因此職員未有認真處理失竊一事。

那部手提電腦不知所蹤，其消失亦無任何解釋，但在資訊安全公司F-Secure任職的圖安文寧及其同事希房寧（Timo Hirvonen）認為，酒店使用的電子鎖可能有漏洞，讓人能夠偷進酒店房間而不在系統留下記錄。

過期匙卡也可用來開鎖

於是他們開始研究如何破解酒店的門鎖系統，並選擇了全球最大鎖具製造商、以質素及保安見稱的Assa Abloy作目標。兩人首先重建酒店的電子門鎖控制系統，再了解軟件及硬件的設計，從中查看有甚麼漏洞可以用作攻擊，最終成功破解Assa Abloy品牌VingCard Elsafe的酒店鎖軟件系統Vision。此外，兩人亦發現可以利用Vision的漏洞，在同一網絡中取得客戶的敏感資料。

今個星期，他們將會在邁阿密舉辦的一場安全會議上介紹破解技巧，不僅可以複製匙卡上的無線射頻辨識（RFID）碼，更可製作主匙（master key）打開酒店任何房門。

破解系統的硬件方面，只需要一個300美元的RFID卡讀寫器和一張目標酒店的匙卡，後者不必是正在使用的匙卡，即使已過期5年也沒有問題。VingCard的系統會為每張匙卡寫入獨特的密匙作解鎖用，另外每家酒店也有可以開任何門的主匙。

F-Secure更拍攝了影片示範，破解者只需要帶手掌大小的裝置，接觸一下匙卡便能取得資料，再計算出主匙︰

收窄搜索範圍

這些密鑰和主匙的設計本應有極多可能，難以被猜中，但圖安文寧和希房寧說，他們在2003年則開始檢查VingCard的編碼系統時已發現一個潛在漏洞。透過讀取匙卡上的密鑰，他們尋找數字中的規律，從而收窄可能答案的數目。即使如此，可能的主匙碼仍然太多，需要數千次嘗試，無法在實際環境中應用。

兩人多年來不斷研究系統，這段期間VingCard亦已由磁卡改為使用RFID技術，他們仍繼續分析收集得來的匙卡，並對取得的Vingard軟件作逆向工程。兩人在這10年期間從朋友處收集到超過1000張酒店匙卡，大約有30%屬於Vision系統。

最終他們從該公司一個訓練酒店員工的網頁上，找到大幅收窄搜索範圍，從而找出答案方法。不過基於保安理由，他們不打算進一步解釋細節，僅提到他們發現要打開的門在酒店的位置，跟其匙卡編碼有關。這個發現不但令他們可以製作主匙卡打開酒店內任何一道門，更能製作針對特定樓層或範圍的匙卡，僅打開部分門鎖，這就能讓小偷偽裝成酒店的服務員。

Photo Credit: Attila Cser / REUTERS / 達志影像

為何需要十多年時間才破解系統？F-Secure的網頁解釋，要了解門鎖系統的複雜設計並不容易，Assa Abloy的產品設計得非常好。今次的破解方式並非源自軟件的明顯漏洞，而是透過徹底了解整個系統設計才找到的微小缺陷結合而成。圖安文寧和希房寧又表示，假如有人全職研究破解系統，相信所需時間會短得多。

製造商推出安全更新

他們發現的破解方法只適用於VingCard上一代的Vision鎖，無法破解新一代的Visionline產品，然而他們估計，全球仍然橫跨160個國家的有14萬間酒店受影響，更指Assa Abloy承認數以百萬計的門鎖受影響。《Wired》向Assa Abloy查詢時得到的數字較少，在50萬至100萬之間，該公司指受影響的門鎖總數難以量度，因為無法追蹤酒店更換了哪些舊門鎖。

Assa Abloy強調他們的新產品使用不同技術，包括容許酒店住客以其智能手機開鎖的系統。該公司一名高層表示，保安行業的挑戰不斷改變，某個時刻安全的系統在20年後未必安全。

兩人在2017年3月已能在真實測試中製作酒店的主匙，並按慣例先通知Assa Abloy並合作研究如何修補漏洞。今年2月後者為軟件推出安全更新，但由於VingCard的門鎖未有連接網絡，只能靠技術人員人手安裝更新。圖安文寧說︰「很可能有些酒店尚未解決問題。」

還有其他人能破解門鎖？

圖安文寧和希房寧表示，他們並不知道現實中是否有人用上這種破解方式。然而美國公民自由聯盟（ACLU）在2012年的文章提到，有資訊安全研究人員把他打開酒店電子鎖的發現賣給一家叫做Lockmasters Security Institute的機構，後者會提供課程教人打開不同廠商製作的酒店門鎖，宣傳資料中亦有包括VingCard。

此外，2010年有哈馬斯高層在杜拜一家酒店的房中被暗殺，行兇者相信屬於以色列情報機構摩薩德（Mossad），透過修改門鎖程式進入其房暗殺——酒店所用的正是VingCard門鎖。因此，雖然兩位研究員未有公開破解詳情，也不會發布他們所用的程式，使用有關門鎖的酒店還是應該更新軟件。F-Secure亦建議，酒店住客如果要把貴重物品留在房間的話，必須放在夾萬內，留在房時使用防盜門鍊。

兩人未有因為其發現從Assa Abloy收到任何金錢回報，他們指純粹視研究為一項挑戰。圖安文寧說︰「有些人踢足球，有些人玩帆船，有些人拍照，這是我們的興趣。」

相關文章︰

• 利用通訊網絡漏洞　專家示範竊聽國會議員手機
• 芬蘭10歲童發現Instagram漏洞　獲Facebook付1萬美元獎金
• TSA海關鎖主匙照片網絡流傳　現可3D打印大量複製

資料來源︰

• A One-Minute Attack Let Hackers Spoof Hotel Master Keys (Wired)
• A faked master key gives hackers access to millions of hotel rooms (Wired UK)
• F-Secure Researchers: Master Keys to Hotels Can be Created 'Out of Thin Air' (F-Secure)
• Hotel key cards, even invalid ones, help hackers break into rooms (Reuters)
• Hotel room keys an be hacked (F-Secure)
• Hackers built a 'master key' for millions of hotel rooms (ZDNet)
• Hotel Lock Security Vulnerability is Reminder of Government's Ambiguous Role in Protecting Security (ACLU)